Un bug dans Azure App Service expose le code source des apps



Un bug dans Azure App Service expose le code source des apps

Des chercheurs ont découvert une mauvaise configuration dans Azure App Service qui exposait le code source des applications. Cela concerne les programmes développés en PHP, Python, Ruby ou Node. Alerté, Microsoft a atténué cette menace.


Selon les chercheurs, le problème se situe dans le fichier web.config qui n'est pas reconnu par certains dépôts codés en Python, Node, PHP et Ruby (Crédit photo: Wiz)

Selon les chercheurs, le problème se situe dans le fichier web.config qui n’est pas reconnu par certains dépôts codés en Python, Node, PHP et Ruby


La recherche de bug ne s’arrête jamais. Des experts de Wiz (spécialiste sur la sécurité du cloud) viennent d’en trouver un (nommé NotLegit) dans Azure App Service. Cette solution de Microsoft est également connue sous le nom d’Azure Web Apps. Il s’agit d’une plateforme cloud pour l’hébergement d’applications et de sites Web. Au sein de cet outil, les développeurs ont plusieurs manières de déployer le code source et les artefacts. L’une d’entre elles est Local Git, par laquelle les utilisateurs lancent un repository dans le conteneur Azure App Service. Le développeur peut ainsi pousser le code vers le serveur.


Quand Local Git est utilisé pour le déploiement dans Azure App Service, le dépôt Git était créé dans un répertoire accessible au public (home/site/wwwroot) soulignent les analystes dans un blog. Conscient du risque de cette exposition, Microsoft a ajouté un fichier « web.config » au dossier .git dans le répertoire public. Cependant, seul le serveur Web IIS (Internet Information Services) gère les fichier « web.config », précisent les experts.


Le code en PHP, Ruby, Python et Node concerné

Pour les développeurs s’appuyant sur C# ou ASP.NET, les applications ont été déployées avec IIS et l’atténuation de Microsoft a fonctionné. Mais pour ceux qui codent en PHP, Ruby, Python et Node, les dépôts sont déployés avec des serveurs Web différents qui ne gèrent pas les fichiers « web.config ». Les mesures d’atténuation sont donc caduques et les programmes vulnérables, car des pirates peuvent récupérer des codes sources qui ne sont pas censés être publics.


Les chercheurs ont alerté Microsoft de ce bug le 7 octobre 2021, mais estime que ce problème existe depuis septembre 2017. La firme de Redmond a reconnu l’erreur. « Cela se produit car le système tente de préserver les fichiers actuellement déployés comme faisant partie du contenu du référentiel, et active ce que l’on appelle les déploiements sur place via le moteur Kudu », écrit le Microsoft Security Response Center dans un billet de blog.


La firme a temporisé la portée de cette mauvaise configuration limitée selon elle aux clients d’Azure App Service Linux qui ont déployé des applications en utilisant Local Git après que des fichiers aient été créés ou modifiés dans le répertoire racine du contenu. Au final, elle a annoncé des mises à jour pour résoudre le problème et les clients concernés ont été contactés.



Pour plus d’information : https://www.lemondeinformatique.fr/actualites/lire-un-bug-dans-azure-app-service-expose-le-code-source-des-apps-85213.html

Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram


Categories:

Company

Consulting

Formation

Support

Blog

Solutions

Société

À propos

Carrières

Partenariats

Partenaire

Symantec

Fortinet

Rapid7

BeyondTrust


UNIDEES®

Conditions d’utilisation

Déclaration de confidentialité

Déclaration de sécurité